その他のリソース

リリースノート

サポートナレッジベース
(ログインが必要です)

Patchの概要

Patchを使用して、企業全体のWindowsオペレーティングシステムパッチをTaniumの速度と規模で管理し、迅速に1つのパッチをコンピュータグループに適用できます。高度なルールセットやメンテナンス時間枠を使用して、指定した時間に環境全体にパッチのグループを配信するなど、より複雑なタスクを実行することもできます。

Patchは詳細なレポートを生成し、すべてのエンドポイントから現在の適用可能なパッチリストを返します。パッチまたはパッチリストの配信には、次の詳細情報が含まれます:

  • 重要度、リリース日、適用されるCVE (Common Vulnerabilities and Exposures)、
    ファイルおよびナレッジベース記事へのリンクなどのパッチの詳細。
  • コンピュータグループごとに分割されたパッチの状態。
  • 割り当てられたパッチリストまたはそのブラックリスト。

また、カスタムワークフローを定義し、パッチリスト、ブラックリスト、およびメンテナンス時間枠毎に設定されたルールまたは例外に基づいてパッチ配信をスケジュールすることもできます。たとえば、データセンターにあるサーバを除くすべてのコンピュータにクリティカルなMicrosoftのパッチを適用したり、.NETパッチを常に除外したり、勤務時間外にパッチをインストールしたりすることができます。

パッチスキャンオプション

いくつかのスキャン方法から選択して、ネットワーク上のインストールされたパッチと不足しているパッチを特定することができます。スキャン構成はEnforcementと呼ばれ、スキャン方法、スキャン頻度、スキャンされているコンピュータグループを定義します。1つのスキャン構成がエンドポイントに適用されます。エンドポイントが複数のコンピュータグループに含まれている場合、最優先のスキャン構成が適用されます。

次のスキャンオプションの一覧を確認し、各コンピュータグループに最適な方法を決定します。

T:表1:利用可能なパッチスキャンオプション
スキャン
方法
含まれる
更新
クライアントの影響 接続性 詳細
オフラインCABファイル
  • 重要なセキュリティパッチ
  • 累積セキュリティと品質向上パッチ
スキャン中の変更:中 CABファイルは、Tanium Clientによってローカルに保存されます。
  • CABファイルのダウンロードに200MB以上の空き容量が必要です。
  • WSUSまたはOnline to Microsoftのスキャン方法に含まれている定期更新プログラム、アウトオブバンドの修正プログラム、および拡張プログラムは含まれません。
Online to Microsoft
  • 重要なセキュリティパッチ
  • 重要な定期パッチ
  • 累積セキュリティと品質向上パッチ
  • 非セキュリティおよび任意の更新プログラム
  • 初回スキャン実行時:中
  • 後続処理:低
Tanium ClientはMicrosoftに直接通信する必要があります。
  • 通常は、会社のポリシーにより許可されません。
  • Microsoftへの追加トラフィックが発生します。
Windows Server Update Services (WSUS)
スキャン
  • 重要なセキュリティパッチ
  • 重要な定期パッチ
  • 累積セキュリティと品質向上パッチ
  • 非セキュリティおよび任意の更新プログラム
Tanium ClientはWSUSサーバに通信する必要があります。
  • 1つ以上のWSUSサーバを適用して構成する必要があります。
  • 更新プログラムは、スキャンまたは適用する前にWSUSで承認されている必要があります。

WSUSサーバでMicrosoft System Center Configuration Manager (SCCM)を使用している場合は、同じサーバでTaniumを使用してWSUSスキャンをしないでください。

パッチリストとブラックリスト

パッチリストに適用可能なパッチを1つのグループとして登録することができます。またブラックリストに除外しなければならないパッチを1つのグループとして登録することができます。これらのリストは、パッチ情報に含まれている詳細によって判断できます。たとえば、次のことができます:

  • 重要度に基づいてリストを作成し、最も重要で最新の更新プログラムを最優先で適用します。
  • CVEの問題のみに焦点を当てます。
  • 月または特定のリリース日に基づいてリストを作成します。

新しいパッチが出てきたら、*動的ルールを使用して自動的に判定し、適切なパッチリストに追加します。新しいバージョンを作成することでこれらのリストを繰り返し作成することができます。必要に応じて、任意のバージョンリストを適用できます。

代替パッチ

各パッチには代替パッチの有無を示すカラムが含まれています。あるパッチが置き換えられたことを1つのエンドポイントが報告すると、そのパッチは代替パッチとしてマークされます。パッチリストに代替パッチのカラムを含めると、代替パッチを見つけたり、インストールしたりする場合に便利です。たとえば、セキュリティ勧告の推奨事項で参照されている場合は、代替パッチを探し、インストールしなければならない場合があります。代替パッチは自動的にブラックリストに含まれます。

Microsoftアップデートとサービスの詳細

2016年10月、Microsoftはエンドポイントのオペレーティングシステムに基づいてソフトウェアパッチの更新方法を変更しました。これらの用語は変更される可能性がありますが、ネットワークにどのように影響するかを認識することが重要です。

  • Windows 10およびWindows 2016
    • 機能のアップグレード:フィーチャービルドは、基本的にWindows 10の新しいビルド番号です(たとえば、1511、1607、1703)。 これらのアップグレードは3〜4か月ごとに公開されます。現在、Windows 10のビルドのアップグレードは、Taniumによって配布された標準パッケージで完了することができます。
    • 2017-XX Cumulative Update (2017-XX累積更新):毎月リリースされている累積的な更新プログラムは、Windows 10の以前の累積的な更新プログラムよりも優先されます。 当月を含む、過去のすべてのセキュリティおよび非セキュリティ修正が含まれます。
  • Windows 7、8.1、2008、2008R2、2012、2012R2
    • Security Monthly Quality Rollup (2017-XX セキュリティ月例品質ロールアップ): パッケージは、現在および過去の全更新の累積です。 当月のみが適用されます。以前のバージョンはすべて置き換えられています。
    • Security Only Quality Update (2017-XX セキュリティのみ品質アップデート):特定の月のみのセキュリティアップデート。 前月の更新は含まれません。 過去の月次の更新プログラムは適用可能で、必要になります。
    同じ月に「Security Monthly Quality Rollup (セキュリティ月例品質ロールアップ)」と「Security Only Quality Update (セキュリティのみ品質アップデート)」の両方を同時に適用しないでください。 両方の更新プログラムがエンドポイントを対象とする場合、Windows Update Agentは「Security Monthly Quality Rollup (セキュリティ月例品質ロールアップ)」をインストールし、「Security Only (セキュリティのみ)」の更新は無視されます。 結果として、何のメリットもなくダウンロードサイズだけが増加します。

詳細は次を参照してください。「ブラックリストでパッチを除外する」およびMicrosoftの記事「 簡略化されたサービス」または「Windowsサービスモデル」。

パッチの適用

パッチの適用は通常、リストからパッチをコンパイルしてから、Patchパッケージをターゲットコンピュータに配布します。パッチの適用オプションを構成して、パッチのインストールまたはアンインストールの時期と方法を指定できます。

たとえば、変更を適用するためにパッチがインストールされた後でエンドポイントを再起動するとします。通常はブラックリストにあるが何らかの理由で必要となるパッチが出てきたら、新しいバージョンのブラックリストを作成するのではなく、特定のパッチの適用のためにブラックリストを上書きすることができます。緊急の場合は、閉じたメンテナンス用時間枠を上書きすることもできます。

パッチのインストール後にエンドポイントを再起動するかどうか選択し、ユーザーに再起動を延期することを許可したりすることが可能です。

メンテナンス用時間枠

メンテナンス用時間枠では、対象コンピュータグループへのパッチのインストールもしくはアンインストールを許可する時間を指定します。複数のメンテナンス用時間枠を構成することができます。重複する時間帯でも可能です。メンテナンス用時間枠は相互に干渉しません。パッチが有効化されるには、パッチの適用とメンテナンス時間枠が一致する必要があります。

可能な限りエンドポイントを最新の状態に保つメンテナンスサイクルを確立することを検討してください。優れたウィルス対策運用で、多くのセキュリティリスクを避けることができます。検討事項として、週末やネットワークの業務時間外でMicrosoft Patch Tuesdayのリリース適用を考慮することなどが挙げられます。

最終更新:12/13/20181:39 PM| フィードバック

Powered by Translations.com GlobalLink OneLink Software